Cybersecurity w łańcuchu dostaw

Kolejny raz sięgamy po lekturę magazynu „Risk&Compliance”, ale tym razem w kontekście tematu cyberbezpieczeństwa w łańcuchu dostaw. I podobnie jak to zwykle czynimy odnosimy go do standardów ISO, bardzo popularnych już w naszej przestrzeni biznesowej narzędzi organizacyjnych, które wspierają ten obszar.

Wzrost liczby incydentów związanych z łańcuchem dostaw skłonił organy regulacyjne i instytucje ustalające standardy technologiczne do wzmożonej uwagi na to zagadnienie . Chociaż tradycyjnie regulacje nie narzucały szczegółowych wymagań w zakresie cyberbezpieczeństwa, trend ten ulega zmianie, z coraz większym naciskiem na due diligence i nadzór nad ryzykami w łańcuchu dostaw .

W tym kontekście kluczowe stają się międzynarodowe standardy takie jak ISO/IEC 27001 oraz ISO/IEC 27036-1. ISO 27001 stanowi wiodący standard dla systemów zarządzania bezpieczeństwem informacji, zapewniając kompleksowe ramy do ustanawiania, wdrażania i ciągłego doskonalenia cyberbezpiecznej organizacji. Kontrole zawarte w Załączniku A normy ISO 27001 (np. A.5.19 „Relacje z dostawcami”) obejmują potrzebę oceny i monitorowania postawy bezpieczeństwa dostawców oraz stosowania zabezpieczeń kontraktowych .

Z kolei ISO/IEC 27036-1 koncentruje się specifically na bezpieczeństwie informacji w relacjach z dostawcami, określając architekturę i wysokopoziomowe wymagania dotyczące zarządzania ryzykami bezpieczeństwa informacji w całym cyklu życia relacji z dostawcami, od należytej staranności i wyboru po bieżące monitorowanie i zakończenie współpracy. Jest to standard stworzony specjalnie z myślą o ryzykach stron trzecich i łańcucha dostaw, które są tak wyraźnie podkreślane w kontekście cyberbezpieczeństwa. Razem, ISO/IEC 27001 w połączeniu z serią ISO 27036 oferuje kompleksowe ramy najlepszych praktyk do identyfikacji, oceny i łagodzenia ryzyka cyberbezpieczeństwa nieodłącznego w dzisiejszych złożonych globalnych łańcuchach dostaw.

Budowanie Efektywnych Programów Zarządzania Ryzykiem

Efektywne programy zarządzania ryzykiem w łańcuchu dostaw wymagają ustanowienia struktur zarządzania, które równoważą cyberbezpieczeństwo z celami biznesowymi . Proces ten powinien rozpoczynać się od oceny ryzyka i należytej staranności, klasyfikując dostawców na podstawie potencjalnego wpływu na działalność i bezpieczeństwo danych . Dostawcy o wyższym ryzyku powinni podlegać bardziej kompleksowym analizom, w tym szczegółowym kwestionariuszom i przeglądom dokumentacji, a także mogą być zobowiązani do przedstawienia certyfikatów zgodności, takich jak raporty SOC (System and Organization Controls) czy wyniki testów penetracyjnych .

Kwestie kontraktowe odgrywają kluczową rolę po wybraniu dostawcy. Umowy powinny zawierać szczegółowe zabezpieczenia cyberbezpieczeństwa, postanowienia dotyczące powiadamiania o incydentach, wymagań dotyczących ciągłości działania, prawa do audytu, zarządzania podwykonawcami oraz alokacji ryzyka, np. poprzez klauzule odszkodowawcze . Ważne jest, aby te postanowienia były dostosowane do zidentyfikowanych ryzyk, a nie stanowiły standardowego szablonu .

Ciągłe monitorowanie postawy bezpieczeństwa dostawców jest również niezbędne, ponieważ jednorazowa ocena w momencie onboardingu nie jest wystarczająca w szybko zmieniającym się środowisku zagrożeń . Organizacje powinny również przygotować się na reagowanie na incydenty cyberbezpieczeństwa w łańcuchu dostaw, tworząc specjalne „scenariusze działań” (playbooki), które uwzględniają specyfikę takich zdarzeń, np. odłączenie się od dostawcy czy użycie alternatywnych rozwiązań .